|
Установка прграмм без пароля админа.
Есть Домен 2008 в офисе центральном.
Есть офис в Питере пока workgroup. Сопряжены офисы по ВПН на коробочных роутерах. Есть мысль поставить в Питере RODC, чтобы вся инфа с центрального офиса AD текла в Питер. Пока это все в планах, но есть одна проблема, я админ один и сижу в Москве. Нужно чтобы юзеры могли сами там ставить себе на комп проги, без пароля. Но всякие настройки ОС делать можно было только через пароль. Как это можно сделать через ГП? Есть конешно одна мысль, сделать админом (руководителя) т.к. если из рядовых кого-то сделаешь админом, пароль и логин быстро разойдется по всем. Спасибо всем заранее! З.Ы. Вопрос как раз про RODC. Если упадет канал интернета то юзеры Питерского офиса смогут залогиниться на своих компах? |
Cruzenshtern, политиками можно, через Restricted Users. Создаете глобальную ГБ, например, LocalAdmins, в нее включаете доменных пользователей, которым даете права локального админа. Создаете GPO, в конфигурации компьютера в параметрах безопасности создаете группу с ограниченными правами (LocalAdmins), указываете, что она входит во встроенные (builtin) группы - администраторы, administrators. Все.
|
Цитата:
Цитата:
|
Цитата:
Цитата:
Нашел учетку проверенные пользователи, вот щас с ней попробую поэксперементировать. Хотя по ссылке говорится следующие насчет опытных юзеров: Опытные пользователи могут: выполнять приложения, сертифицированные для Windows 2000 и Windows XP Professional, а также устаревшие приложения; устанавливать программы, не изменяющие файлы операционной системы, и системные службы; настраивать ресурсы на уровне системы, включая принтеры, дату и время, параметры электропитания и другие ресурсы панели управления; создавать и управлять локальными учетными записями пользователей и групп; останавливать и запускать системные службы, не запущенные по умолчанию. Опытные пользователи не могут добавлять себя в группу "Администраторы". Они не имеют доступа к данным других пользователей на томе NTFS, если соответствующие разрешения этих пользователей не получены. Поскольку опытные пользователи могут устанавливать и изменять программы, работа под учетной записью группы "Опытные пользователь" при подключении к Интернету может сделать систему уязвимой для троянских коней и других программ, угрожающих безопасности. |
Установка программ — задача Администратора. Требует локальных административных полномочий.
Злоупотребление которыми, конечно же, неизбежно приведёт к вирусному поражению. Фактически, вы просите криминал: "помогите мне уничтожить свою сеть". |
Цитата:
|
Цитата:
Скажите как мне действовать при вопросе юзера, а поставь мне скайп а то общаться надо? Вижу только вариант, Заходить удаленно на комп под админом и ставить данное ПО. Потом юзеру останеться добавить ярлычок на раб.стол и пусть пользуется. |
Цитата:
http://support.microsoft.com/kb/2692954 - или это только обновление. Есть второй вариант - определите в компании список используемого ПО, и установите на все машины в ручную или через те же GPO |
Кроме групповых политик, если вы хотите чтобы пользователи сами могли заказывать себе ПО не имея административных полномочий, можно использовать, например, System Center Configuration Manager. Разумеется установку ПО всё равно придётся автоматизировать, просто пользователи уже смогут самостоятельно запускать установку разрешенного для них ПО.
|
Скайп я для примера привел.
А как же ставить всякие обновления, того же самого adobe reader flash player и т.д. ??? Не бегать жеж по всем и вводить пароль. И в догонку хотел спросить, как отключить подтверждении от удаленного компа на вход по РДП ??? Не могу найти. |
Цитата:
|
Цитата:
|
Цитата:
|
| Время: 23:11. |
Время: 23:11.
© OSzone.net 2001-